ค่อนข้างมาก
กลุ่มแฮ็กเกอร์ชื่อดังที่ดำเนินการในนามของเกาหลีเหนือได้ติดตั้งมัลแวร์รูปแบบใหม่เพื่อกำหนดเป้าหมายองค์กรด้านการดูแลสุขภาพและโครงสร้างพื้นฐานอินเทอร์เน็ตที่สำคัญทั่วยุโรปและสหรัฐอเมริกา มัลแวร์สายพันธุ์ขั้นสูงนี้ ซึ่งนักวิจัยระบุในชื่อ QuiteRAT มีลักษณะหลายอย่างเหมือนกับสายพันธุ์มัลแวร์ที่สังเกตได้ก่อนหน้านี้ซึ่งใช้โดยกลุ่ม Lazarus APT อย่างไรก็ตาม มันมีความซับซ้อนในระดับที่สูงขึ้น ทำให้กองหลังมีความท้าทายมากขึ้นในการวิเคราะห์และตอบโต้ นอกจากนี้ ในระหว่างขั้นตอนการฝ่าฝืนขั้นต้นของการปฏิบัติงาน แฮกเกอร์ยังใช้ประโยชน์จากเครื่องมือและกรอบงานโอเพ่นซอร์สตามรายละเอียดจากผลการวิจัย
สารบัญ
ลาซารัสยังคงเป็นนักแสดงที่กระตือรือร้นอย่างยิ่งในแวดวงอาชญากรไซเบอร์
นักวิเคราะห์ความปลอดภัยได้เปิดเผยชุดปฏิบัติการโจมตีที่เกี่ยวข้องกับกลุ่มแฮ็ก Lazarus ที่มีชื่อเสียง ซึ่งได้รับความอื้อฉาวจากการถูกกล่าวหาว่าขโมยสกุลเงินดิจิตอลมูลค่า 1.7 พันล้านดอลลาร์ในปี 2565 น่าสังเกตภายในระยะเวลาไม่ถึงหนึ่งปี กลุ่มนี้ได้ เชื่อมโยงกับแคมเปญที่บันทึกไว้สามรายการ การดำเนินการของอาชญากรไซเบอร์แสดงให้เห็นถึงการนำโครงสร้างพื้นฐานที่เหมือนกันมาใช้ซ้ำในการดำเนินการเหล่านี้
การใช้เครื่องมือโอเพ่นซอร์สของ Lazarus ทำให้เกิดข้อกังวลเนื่องจากผลกระทบต่อกระบวนการระบุแหล่งที่มาและการเร่งวงจรการหาประโยชน์ ด้วยการใช้เครื่องมือโอเพ่นซอร์ส แฮกเกอร์จึงสามารถจัดการเพื่อลดความสงสัยและหลีกเลี่ยงความจำเป็นในการสร้างความสามารถตั้งแต่เริ่มต้น โดยเฉพาะอย่างยิ่ง เครื่องมือโอเพ่นซอร์สจำนวนมากที่เดิมมีไว้สำหรับงานป้องกันและรุกที่ถูกต้องตามกฎหมาย ได้กลายเป็นส่วนหนึ่งของคลังแสงที่เป็นอันตรายของกลุ่มอาชญากรไซเบอร์ต่างๆ
การใช้ประโยชน์จากช่องโหว่ในชุดซอฟต์แวร์ธุรกิจยอดนิยม
เหตุการณ์ที่รายงานครอบคลุมการใช้ประโยชน์จากช่องโหว่ที่ส่งผลกระทบต่อ ManageEngine ServiceDesk ชุดโปรแกรมที่นำเสนอโดย ManageEngine สามารถนำไปใช้ประโยชน์ได้ในองค์กรจำนวนมาก รวมถึงองค์กรส่วนใหญ่ที่ติดอันดับ Fortune 100 ซอฟต์แวร์นี้ใช้ในการจัดการโครงสร้างพื้นฐานด้านไอที เครือข่าย เซิร์ฟเวอร์ แอปพลิเคชัน อุปกรณ์ปลายทาง และฟังก์ชันอื่นๆ ในเดือนมกราคม บริษัทที่รับผิดชอบผลิตภัณฑ์ดังกล่าวได้รับทราบอย่างเป็นทางการถึงการมีอยู่ของช่องโหว่ ซึ่งกำหนดเป็น CVE-2022-47966 บริษัทรักษาความปลอดภัยหลายแห่งได้ออกการแจ้งเตือนเกี่ยวกับการแสวงหาผลประโยชน์จากผู้ไม่ประสงค์ดี
QuiteRAT ซ่อนอยู่ในอุปกรณ์ที่ถูกบุกรุก
QuiteRAT ช่วยให้แฮกเกอร์สามารถรวบรวมข้อมูลจากอุปกรณ์ที่ถูกบุกรุกได้ ภัยคุกคามยังมาพร้อมกับฟังก์ชันที่ช่วยให้สามารถเข้าสู่โหมด 'สลีป' ตามระยะเวลาที่กำหนดไว้ล่วงหน้า ซึ่งอำนวยความสะดวกในการปกปิดการมีอยู่ภายในเครือข่ายที่ถูกบุกรุก
เมื่อเทียบกับรุ่นบุกเบิก MagicRAT ซึ่งเปิดตัวโดยแฮ็กเกอร์ Lazarus ในเดือนเมษายน 2022 QuiteRAT มีขนาดที่เล็กกว่าอย่างเห็นได้ชัด โดยมีขนาดเพียง 4 ถึง 5 MB สาเหตุหลักมาจากการละเว้นความสามารถในการคงอยู่โดยธรรมชาติภายในเครือข่ายที่ถูกละเมิด เป็นผลให้แฮกเกอร์จำเป็นต้องแนะนำคุณลักษณะการคงอยู่แยกต่างหากในภายหลัง
ความคล้ายคลึงกันระหว่างการปลูกถ่ายแสดงให้เห็นว่า QuiteRAT มีต้นกำเนิดมาจากสายเลือดของ MagicRAT นอกเหนือจากการพึ่งพาร่วมกันในกรอบงาน Qt แล้ว ภัยคุกคามทั้งสองยังมีฟังก์ชันการทำงานที่คล้ายคลึงกัน รวมถึงการดำเนินการตามคำสั่งที่กำหนดเองบนระบบที่ติดไวรัส
เมื่อใช้ร่วมกับมัลแวร์ QuiteRAT นักวิจัยได้สังเกตเห็นว่า Lazarus Group ใช้ภัยคุกคามที่ไม่รู้จักก่อนหน้านี้ที่เรียกว่า 'CollectionRAT' มัลแวร์นี้แสดงความสามารถของ Remote Access Trojan (RAT) มาตรฐาน ทำให้สามารถรันคำสั่งตามอำเภอใจบนระบบที่ถูกบุกรุกได้
